署名および暗号化ダイアログ ボックス(SAML 2.0 IdP)

目次
casso127jpjp
HID_asserting-partner-sig-encrypt
目次
この署名および暗号化手順では、SAML アサーションの署名および暗号化のオプションを設定できます。
署名(SAML 2.0 IdP)
[署名]セクションでは、アサーション、アサーション レスポンス、シングル ログアウト リクエストおよびシングル ログアウト レスポンスへの署名用のオプションを設定できます。このセクションには、以下の設定項目が表示されます。
  • 署名の処理を無効にする
    設定すると、そのパートナーシップに対するすべての署名処理(署名および署名の検証の両方)が無効になります。
    注:
    実稼働環境では署名処理が有効化されます。デバッグに対してのみ[署名の処理を無効にする]設定を使用します。
  • 署名秘密キー エイリアス
    アサーションおよび SLO レスポンスへの署名に使用される証明書データ ストア内の秘密キーと関連付けられるエイリアスを指定します。プルダウン リストからエイリアスを選択します。証明書データ ストアにキーがない場合は、[インポート]をクリックしてキーをインポートします。また、[生成]をクリックしてキー/証明書要求を生成し、これを認証機関に送信することもできます。
    値:
    ドロップダウン リストから選択
  • 署名アルゴリズム
    アサーション、レスポンスおよび SLO SOAP メッセージのデジタル署名用のハッシュ アルゴリズムを指定します。最も用途に適したアルゴリズムを選択してください。
    RSAwithSHA256 の方が、結果として生成される暗号化ハッシュ値に使用されるビット数が多いため、RSAwithSHA1 より安全です。
    選択するアルゴリズムはすべての署名機能に使用されます。
    デフォルト:
    RSAwithSHA1
    オプション:
    [RSAwithSHA1]、[RSAwithSHA256]
  • 検証証明書エイリアス
    署名された認証リクエストおよび SLO レスポンスを検証するのに使用される証明書(公開キー)と関連付けられるエイリアスを識別します。プルダウン リストからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。また、[生成]をクリックして証明書要求を生成し、これを認証機関に送信することもできます。
    値:
    ドロップダウン リストから選択
  • セカンダリ検証証明書エイリアス
    (オプション)証明書データ ストアで証明書の 2 つ目の証明書エイリアスを指定します。検証証明書エイリアスを使用して、署名された認証リクエストの検証に失敗した場合、IdP はこのセカンダリ検証エイリアスを使用します。セカンダリ エイリアスの指定は、SP が署名証明書をロールオーバーする場合に有用です。証明書の有効期限切れ、秘密キーの侵害、秘密キーのサイズ変更があった場合など、ロール オーバーは何らかの理由で発生します。証明書データ ストアに証明書が存在しない場合は、
    [インポート]
    をクリックしてインポートします。
    値:
    ドロップダウン リストから選択
    セカンダリ証明書がアクティブなパートナーシップに対して設定または更新された場合は、実行時に自動的に変更が取得されます。変更を有効にするために、UI からキャッシュをクリアする必要はありません。
  • Artifact 署名オプション
    アサーションとレスポンスのいずれか一方または両方が Artifact シングル サインオンに対して署名されることを示します。
    デフォルト:
    どちらにも署名しない
    オプション:
    アサーションの署名、レスポンスの署名、両方に署名する、どちらにも署名しない
  • POST 署名オプション
    アサーションとレスポンスのいずれか一方または両方が POST シングル サインオンに対して署名されることを示します。
    デフォルト:
    アサーションの署名
    オプション:
    アサーションの署名、レスポンスの署名、両方に署名する
  • SLO SOAP 署名オプション
    SOAP 要求、レスポンス、またはそれらの両方が SOAP バインドを使用して SLO に対して署名されるかを示します。
    デフォルト:
    どちらにも署名しない
    オプション:
    [ログアウト リクエストに署名]、[ログアウト レスポンスに署名]、[両方に署名]、[どちらも署名しない]
  • 署名された認証リクエストが必要
    依存するパーティーが送信する認証リクエスト メッセージが署名されることを示します。署名されない場合はアサートするパーティーはリクエストを受け付けません。
  • 署名された ArtifactResolve が必要
    メッセージを ID プロバイダに送る前に、サービス プロバイダが Artifact 解決メッセージに署名する必要があることを示します。Artifact 解決メッセージは、元の SAML メッセージを取得するための SP からのリクエストです。このオプションを選択する場合、サービス プロバイダは Artifact 解決メッセージに署名する必要があります。これ以外の場合は ID プロバイダはリクエストを拒否します。
    ID プロバイダが署名済みの Artifact 解決メッセージを必要とする場合、サービス プロバイダが Artifact 解決メッセージに署名するために有効化されます。
    注:
    デジタル署名処理は、署名済みの Artifact 解決メッセージを処理するために有効化されます。
  • ArtifactResponse への署名
    サービス プロバイダに返す前に、ID プロバイダが Artifact レスポンスに署名する必要があることを示します。Artifact レスポンスには、アサーションを伴う元の SAML レスポンスが含まれます。
    ID プロバイダが Artifact レスポンスに署名することが必要な場合、サービス プロバイダは署名されたレスポンスを受け入れるように設定されます。
    注:
    デジタル署名処理は、Artifact レスポンスに署名するために有効化されます。
暗号化(SAML 2.0 SP)
[暗号化]セクションでは、SAML アサーションの暗号化を設定できます。このセクションには、以下の設定項目が表示されます。
  • 暗号化オプション
    名前 ID およびアサーション全体を暗号化するかどうかを選択します。
    オプション:
    名前 ID の暗号化、アサーションの暗号化
    : [アサーションの暗号化]を選択する場合、[
    レスポンスに署名
    ]または[
    両方に署名
    ]への POST 署名および/または Artifact 署名を設定することをお勧めします。
  • SLO over SOAP オプション
    SOAP メッセージ内の名前 ID を暗号化するか、受信した SOAP に暗号化された名前 ID が含まれることを要求するかどうかを示します。
    オプション:
    [SOAP メッセージ内の名前 ID の暗号化]、[SOAP メッセージ内の暗号化された名前 ID が必要]
  • 暗号化証明書エイリアス
    アサーション データを暗号化するために使用される証明書に対するエイリアスを識別します。データは依存するパーティーでの対応する秘密キーによって復号されます。プルダウン メニューからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。また、[生成]をクリックして証明書要求を生成し、これを認証機関に送信することもできます。
  • ブロック アルゴリズム
    データを暗号化するためのブロック暗号方法を識別します。ブロック アルゴリズムは、入力の固定ブロックをコード化します。
    デフォルト:
    3DES
    オプション:
    [3DES]、[AES-128]、[AES-256]
  • キー アルゴリズム
    暗号化キー アルゴリズムを指定します。
    デフォルト:
    RSA-V15
    オプション:
    [RSA-V15]、[RSA-OAEP]
    注:
    rsa-oaep 暗号化アルゴリズムを使用するために必要な最小キー サイズは 1024 ビットです。
  • 復号秘密キー エイリアス
    依存するパーティーからの AuthnRequest メッセージ内の任意の暗号化データの復号キーを指定します。証明書データ ストアにキーがない場合は、[インポート]をクリックしてインポートできます。または、[生成]をクリックして、証明機関に送ることができるリクエストを生成します。
    デフォルト:
    RSA-V15
    オプション:
    [RSA-V15]、[RSA-OAEP]